FlashFXP 使用其实就是为了实现文件的上传和下载,它要结合另一款软件Serv-U进行具体实现,详细设置参考我的前一篇博客:《FTP服务器搭建基础工具:Serv-U 14.0.2使用教程》,下面具体实现~~
科技日益发展的今天,移动电子设备似乎成了我们生活的主角,智能手机、平板电脑几乎从不离身。但智能手机和平板电脑也有缺憾,就是自身的存储容量实在太少,能随时调取资料的大容量存储设备就显得十分必要。今天,笔者就为大家介绍,如何在电脑上,使用Serv-U+Cpolar内网穿透,构建一个ftp协议服务器,方便我们随时读取调阅文件资料。
去年作为大规模供应链攻击事件中心的 SolarWinds 公司近期再被曝新0day漏洞,该漏洞可使攻击者在受感染系统上运行任意代码,包括安装恶意程序以及查看、更改、或删除敏感数据。 该漏洞被命名为CVE-2021-35211,是一个远程代码执行漏洞,可通过 SSH 协议利用,以提升后的权限在 SolarWinds 应用程序上运行恶意代码。 不过,SolarWinds 公司表示此次易受攻击的 Serv-U 技术仅应用于 Ser-V Managed File Transfer 和 Serv-U Secure
这里看到了一个sa用户,嗯,有亮点!不过暂时也用不到,后面讲到提权的时候会提到sa
下面我就来介绍一下Serv-U的安装以及使用方法,有局域网条件的或者想要搭建FTP服务器的或者像尝尝鲜的同学可以跟着我试一试,由于我没有局域网环境,也没有花生壳软件就不可以在公网或局域网中调试了,我就在个人电脑中示范。 Serv-U支持(分为金版、银版、铜板略有所不同):FTP(文件传输协议)、HTTP(超文本传输协议)、FTPS(通过 SSL 的 FTP)、HTTPS(通过 SSL 的 HTTP)、使用 SSH2* 的 SFTP(安全外壳程序上的文件传输) 安装过程: 1,下载安装包(废话),打开软件包(废话),点击下一步(废话)。 2,安装过程不就不详细说了,需要注意的几点是,“将Serv-U作为系统服务安装”这一步,这一步如果勾选的话Serv-U便会在系统服务里面多 一个服务项,如果不勾选也没事,一般服务器的话作为服务运行的话更稳定一点。哪怕你安装过程不勾选,在软件操作界面也可以设置上。 3,安装完毕,打开软件,会提示“新增加一个定义域”,点击“是” 4,接下来我们输入域的名称“wp.com”。 域的名称对用户是不可见的,并且不影响其他人访问域的方式。它只是域的标识符,使其管理员更方便的识别和管理域。同时域名必须是唯一的,从而使 Serv-U 可以将其与服务器上的其它域区分开。您也可在描述区提供域的任何其它描述说明。 所以我为了好记就把域的名称设置成为网站的域名,wp并不是我的域名,我只是把wp.com指向了本地“127.0.0.1” 5,这里我们需要注意一下,如果你本地还安装了其他服务器环境可能会有端口冲突,比如我这里由于安装了apache http的80端口就冲突了,自己选择一个端口比如“81”端口就可以了,如果你本地就一个Serv-U那就随便了。 比如你将Serv-U的http 端口设置成了81 结合我这里的域名情况,你也可以使用“wp.com:81”形式来访问ftp服务器,Serv-U默认提供了一个web客户端。当然了ftp://wp.com 这个也行。 6,这里不用变动,按照默认的来,点击“下一步” 7,加密方式自定,服务器默认方式是“单向加密”,所以不用变动,直接“完成” 创建FTP账户: 安装过程完成了,接下来我们就需要创建FTP账户了。 1,毫无疑问“是” 2,是 3,登录ID自己设置,下面的电子邮件什么的,如果你仅仅是本地局域网调试那完全不用填写。 4,Serv-U默认会帮你设定一个比较复杂的密码,你自己改一下。 5,点击那个图标,选择一个你本地的目录作为FTP的根目录,一般需要“锁定用户至根目录”否则其他人可以把你电脑里面的目录结构看光光。 6,就像这样,我把我本地安装的网站设置成根目录。然后点击“选择” 7,下一步 8,这里按照你自己的需要设置一下,一般首次创建的目录肯定是为你自己开设的,所以选择“完全访问”,如果只想提供浏览和下载,选择“只读”访问。 9,账户已经创建完成了,你也可以在Serv-U的操作界面,编辑下账户设置。 连接FTP测试: 1,我这里先用FTP软件“FlashFXP”测试,打开快速连接。 2,输入wp.com或者127.0.01 。由于我把wp.com的hosts设置成了127.0.0.1 所以都是一样的。依次输入,用户名“admin”,密码“123456” 3,看成功连接,速度嗖嗖的(废话,就是打开自己本地的文件夹),如果我也有自己的服务器该多好~ 4,再打开“ftp://wp.com” 试试,在浏览器输入此地址,同理 ftp://127.0.0.1/ 这个地址 5,再打开Serv-U提供的web客户端试试,由于我把Serv-U 的http端口设置成了81,所以格式是这样的“http://www.wp.com:81” 或者“http://127.0.0.1:81” 成功。 引申: 以上都是在本地使用Serv-U,如果你想让广域网中的人能够连接到你刚刚搭建的FTP服务器怎么办呢? 首先我们需要一个路由器可以做端口映射,其次我们需要动态DNS服务(比如花生壳,可以注册一个),如果没有动态DNS那么由于你使用的是动态ip,下次开机换ip了别人可就访问不到了。 由于tp-link路由器中默认提供了花生壳服务,所以不用安装花生壳软件,注册一个帐号就可以使用了,我就拿它示范。 1,我们先将虚拟服务器中“服务器端口号”设置为常见的几个比如:21、80等一个ftp端口,一个http端口,我这里图省事直接21-81。如果你看完我上面的讲解那就知道这什么意思。 2,登录动态DNS,其实如果你仅仅是测试,不用登录也可以,你浏览器输入“ftp://你的广域网ip”,可以在ip138查到。 4,如图我用广域网打开了我个人电脑的主页,同理使用花生壳提供的域
最近,我在做一个外网渗透测试的过程中,发现了SolarWinds文件共享程序Serv-U的一个漏洞,通过该漏洞我获得了Serv-U的管理权限,并能以系统用户身份执行远程代码,成功完成操作系统提权。 在
通过Server-U设置网络共享文件夹的步骤和注意事项 环境:London 192.168.0.3 Ftp 192.168.0.2 ISA 192.168.0.1 要求: Ftp上安装Server-U服务器,把London的E:\book发布出去。 步骤:一、建立内网FTP服务 1、按常规步骤设置好一个FTP服务器; 2、把London的E:\book映射到本地,例如是Z:\; 3、在Server-U上设置虚拟目录:物理路径填“z:\”,
FTP是文件传输协议。用于互联网双向传输,控制文件下载空间在服务器复制文件从本地计算机或本地上传文件复制到服务器上的空间。
我喜欢Shell脚本,格式方便阅读,方便调试。 在Windows上的Bat脚本,相对没那么友好,至少对我来说是这样的,还有一个致命的原因就是不方便调试……这点比较致命。
FTP协议是专门针对在两个系统之间传输大的文件这种应用开发出来的,它是TCP/IP协议的一部分。FTP的意思就是文件传输协议,用来管理TCP/IP网络上大型文件的快速传输。FTP最早也是在Unix上开发出来的,并且很长一段时间里只有 Unix系统支持FTP功能,后来逐渐普及到其他系统,并成为Internet/Intranet网络中的标准组件。
SolarWinds Serv-U FTP Server是美国SolarWinds公司的一套FTP和MFT文件传输软件。
局域网传输文件详解(转) 相信很多朋友都有过这样的经历,在办公室需要通过局域网传输文件。如果顺利自然不必说了,但有时难免也会遇到“不测”,尤其是直接移动文件,万一失败损失惨重,虽然几率不大但毕竟存在。我们该如何做呢?大家知道,本身的复制功能是不能实现断点续传的,也就是说如果在局域网中复制文件一旦失败,原先复制的文件就要重新复制,这种情况相信大家也曾有过体会,难道在局域网中复制文件还不如在互联网上下载文件那么可靠吗?这不,我们可以通过第三方软件来实现。用FTP服务器和FTP客户端工具实现提到架设FTP服务器,可能大家最先想到的就非“Serv-u”莫属了,Serv-U的功能强大,我们选择它来架设FTP服务器是最适合不过了。当然如果你的系统是2000或XP,你就可以不用这些软件,利用系统集成的IIS就能实现,具体操作不是本文所说的,有兴趣的读者可以自己研究一下。现在首先用Serv-U建立一个FTP服务器。1.启动Serv-U建立一个匿名用户
大家好,又见面了,我是你们的朋友全栈君。架设一台FTP服务器其实很简单。首先,要保证你的机器能上网,而且有不低于ADSL 512Kbps的网络速度。其次,硬件性能要能满足你的需要。最后,需要安装FTP服务器端的软件,这类软件很多,可以使用微软的IIS(Internet Information Server 因特网信息服务系统),也可以使用专业软件。不同的软件提供的功能不同,适应的需求和操作系统也不同。一般来说,系统最低要求如下:
建设ftp网站看上去是非常难的事情,但其实主要目的还是让各位技术人员或者是各大公司能够更好地整理一下公司的数据。那建设ftp网站怎么创建数据库呢?究竟有几种建造数据库的方法,那接下来就教大家两种创建数据库的方式。
c:/windows/my.ini //MYSQL配置文件,记录管理员登陆过的MYSQL用户名和密码
Serv-U是Windows平台和Linux平台的安全FTP服务器(FTPS,SFTP,HTTPS),是一个优秀的,安全的文件管理,文件传输和文件共享的解决方案。同时也是应用最广泛的FTP服务器软件。
Apache的核心配置文件是“Httpd.conf”,它在电脑中的位置为Apache的安装路径/Conf/,如果安装在C盘的根目录下,则该文件应该在“C:/Apache/Conf/”中,此外,打开Windows的“开始菜单”→“程序”→“Apache HTTP Server”→“Edit the Apache httpd.conf Configuration File”也可以,在最新的1.3.26版中,它的作用更加明显。用记事本打开它,可以看到这些配置文件都以文本方式存在,其中“#”为Apache的注释符号,我们可以在记事本菜单中的编辑选项点击“查找”逐一输入下面要配置的关键字,并进行相应配置。如图15在配置文件中查找“DocumentRoot”。
WindowsServer2003 + IIS6.0 + ASP 服务器安全设置之–组件安全设置篇 A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)windows2000.bat
在这篇博客中,我想分享一些在现代 Windows 系统上为 Serv-U FTP v15.2.3.717 创建基于 ROP 的漏洞利用背后的一些思考过程。我不会在这里介绍漏洞的根本原因,因为 Microsoft 研究团队在他们的博客文章中做得很好。如果您对我们如何到达 NattySamson 的 PoC 以及我们随后的漏洞利用感兴趣,请先阅读该文章,然后再返回此处。
1 Triangle MicroWorks SCADA Data Gateway TLS/DTLS信息泄露漏洞 Triangle MicroWorks SCADA Data Gateway TLS/DTLS信息泄露漏洞发布时间:2014-06-05漏洞编号: 漏洞描述:SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/
经过前几篇的铺垫,进入中间件日志排查篇。由于各种各样的原因安全人员获取到的告警信息很可能是零零碎碎的,且高级黑客的整个入侵过程很可能十分完整,包含了清除痕迹等,这就导致了几种情况可能会发生:可疑威胁文件已被删除,无法定位;远程命令执行痕迹已被清除,无法还原攻击者入侵路径。
这里经历和大家一同来探讨有关安全虚拟主机配置的问题。以下以建立一个站点cert.ecjtu.jx.cn为例,跟大家共同探讨虚拟主机配置问题。
1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:\windows\temp\cookies\net1.exe user
罗马尼亚执法当局宣布逮捕两名作为REvil勒索软件家族成员的人,这对历史上最多产的网络犯罪团伙之一造成了沉重打击。
周三,Zimperium zLabs发布了一份关于PhoneSpy的新报告,PhoneSpy是一种间谍软件,旨在渗透在谷歌Android操作系统上运行的手机。
提到FTP服务器,可能大家都会想到Serv-U、vs-FTP等软件,其实微软内置在IIS里的FTP服务已经够用,不信请往下看。
这个问题在于你输入的网址有错误。有可能是你要连接的服务器不能识别你要求浏览的文档,或者你没有访问它的权利甚至它根本就是不存在的。仔细检查一下 你是否将网址写错,包括大小写(一般网址是不分大小写的,可是某些特殊文档例外)、符号或是多打了空格。这是最常见的一类错误。
FTP是文件传输协议(File Transfer Protocol)的简称,该协议属于应用层协议(端口号通常为20、21),用于Internet上的双向文件传输(即文件的上传和下载)。
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
文件传输协议(File Transfer Protocol,FTP)是用于在网络上进行文件传输的一套标准协议,它工作在 OSI 模型的第七层, TCP 模型的第四层, 即应用层, 使用 TCP 传输而不是 UDP, 客户在和服务器建立连接前要经过一个“三次握手”的过程, 保证客户与服务器之间的连接是可靠的, 而且是面向连接, 为数据传输提供可靠保证。
创建多个用户,并指向不同的文件夹,便可以给多种不同要求的人使用,看起来就像是部署了多个服务器一样。
本文来自安全盒子,请点击原文链接查看原文。原文作者:黑色天使,如有版权问题请后台联系删除。
一,开始信息收集 1,获取域名的whois信息,获取注册者邮箱姓名电话等。 2,查询服务器旁站,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3,查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞 4,查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血等。 5,扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如php探针 6,google hac
1.cmd拒绝访问就自己上传一个cmd.exe,自己上传的cmd是不限制后缀的,还可以是cmd.com cmd.txt cmd.rar等
利用serv-u架设ftp服务器已经是再常见不过了事情了,近日一朋友为图新鲜,弄了个7.4版本的新玩意儿,结果架设上去后,仅开了21端口,用LeapFtp在port模式下连接没问题,但是另一常见的cuteFtp软件却一直无法使用(连接上去后,一直没办法list出文件列表),打电话问我,我以为这种小问题,只要把pasv端口范围的端口打开就可以了(cuteFtp默认用是的pasv模式),结果上去找了半天,好家伙,7.0以上版本的管理界面全变了,如下图,一阵摸索,每个项目点进去看了下,终于发现了设置pasv端口的
ftp协议主要被应用在对网站内容管理(上传文件·)等用途上,很多视频下载网站就使用的是ftp,比如电影天堂,这个协议现在使用的频率也不是很高了。
一、准备工作 实验目的:完成FTP服务器的配置,并能熟练操作。 环境搭建: 虚拟机 vmware workstation windows2003镜像文件 Serv-U 主机 二、步骤 1,在虚拟机中
FTP为文件传输协议,用于Internet上的控制文件的双向传输。云服务器需要通过FTP上传文件,要把网站程序及各种数据上传到运费武器,首先要在服务器上进行FTP的配置,下面是Windows系统和Linux系统云服务器FTP配置教程。
Websitepanel是一个开源,免费的用于Windows2003或Windows2008平台的虚拟主机管理系统。支持集群 分布式架构 。 支持系统 Windows Server 2008 R2 全部版本 Windows Server 2008 全部版本, 32 和 64 位 Windows Server 2003 全部版本, 32 和 64 位 Web 服务器 IIS 7.5 IIS 7.0 IIS 6.0 ColdFusion 7/8/9 FTP 服务器 MS FTP 7.5 MS FT
为追求真实服务器环境,采用阿里云ECS弹性服务器搭建靶场(windows server2012 + phpstudy)
映口映射的功能主要就是实际互联网可以访问当前进行映射的电脑,首先我们要进行路由器的端口映射,常见的开放端口有80,21,3389等,80是网站常用端口,21是FTP服务器常用端口,3389是远程桌面连接端口。下面为大家详细讲解端口映射的具体方法!
FTP(File Transfer Protocol)文件传输协议,用于Internet上控制文件的双向传输。
目的: 针对Windows下进程异常退出后,此程序自动启动被监控进程。如:监控Serv-U.exe 程序是使用python语言编写,可在Windows下双击MonitorWin32Process.exe直接运行。程序会按照config.ini配置文件,进行监控进程。如果没有被监控的进程,则会按照进程启动路径自动启动。 详细使用请查看压包内的使用说明.
在Linux和Windows XP之间使用FTP来互传文件,今天第一次付诸于行动,发现其实很简单,跟我们正常的两台Windows XP系统的机器之间使用FTP基本一样。我是用虚拟机装了Linux,真实系统是Windows XP,在Windows XP下用Serv-u软件架设了FTP服务器,然后我们就可以在虚拟机的Linux下登录该FTP服务器下载或上传文件了,不同的仅是在Linux下是在命令行里输入相关FTP命令来完成的,应该也有像FlashFXP、CuteFTP这一类的Linux专用软件,不过我孤陋寡闻,不了解,也就不误人子弟了。
现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。
最近,经常有市场一线同事问:“我们向客户销售了云主机后,客户究竟可以用来做什么”? 一般的回答是网站,除了以后,好像脑袋里一片空白,核心是因为我们对客户了解不够或者自己的IT专业技能缺乏。我们今天简单聊一聊云主机的客户场景化用途。
以往设备有问题了,是如何诊断的?我们是现场人员到现场,又是配合抓包,又是配合提供机器日志,效率极其低下。
渗透测试面试题目 一、基础问题 1.请你用一分钟时间介绍下你自己 2.现在在哪个城市 3.最快什么时候可以到岗 4.项目经历 5.对面试的岗位职责和工作内容了解吗 二、技术问题 1.拿到一个待检测的站,你觉得应该先做什么 1)信息收集 1,获取域名的whois信息,获取注册者邮箱姓名电话等。 2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3,查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞4
写在前面 跟web渗透(上一篇)不同,内网渗透需要更多的随机性和突破口,情况较为复杂,遇到障碍,有时可以换种思路突破,很多时候则无奈的只能止步于此。下面分享一些自己总结的内网渗透经验。主要是以windows下的操作为主。 0×01 斗转星移 (在拿到webshell的时候,想办法获取系统信息拿到系统权限) 一、通过常规web渗透,已经拿到webshell。那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接,针对linux想办法使用反弹shell来本地连接。 ① Webshel
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
